JP2022101952A - Device management system, management apparatus, communication device, device management method, and program - Google Patents
Device management system, management apparatus, communication device, device management method, and program Download PDFInfo
- Publication number
- JP2022101952A JP2022101952A JP2020216377A JP2020216377A JP2022101952A JP 2022101952 A JP2022101952 A JP 2022101952A JP 2020216377 A JP2020216377 A JP 2020216377A JP 2020216377 A JP2020216377 A JP 2020216377A JP 2022101952 A JP2022101952 A JP 2022101952A
- Authority
- JP
- Japan
- Prior art keywords
- authentication information
- authentication
- unit
- managed
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 222
- 238000004891 communication Methods 0.000 title claims abstract description 61
- 238000006243 chemical reaction Methods 0.000 claims description 24
- 238000012545 processing Methods 0.000 claims description 15
- 230000007704 transition Effects 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 10
- 208000033748 Device issues Diseases 0.000 claims 2
- 238000000034 method Methods 0.000 description 62
- 230000006870 function Effects 0.000 description 49
- 230000008569 process Effects 0.000 description 40
- 238000010586 diagram Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 230000001052 transient effect Effects 0.000 description 6
- 238000007796 conventional method Methods 0.000 description 2
- 238000003384 imaging method Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- NJPPVKZQTLUDBO-UHFFFAOYSA-N novaluron Chemical compound C1=C(Cl)C(OC(F)(F)C(OC(F)(F)F)F)=CC=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F NJPPVKZQTLUDBO-UHFFFAOYSA-N 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
Description
本発明は、機器管理システム、管理装置、通信機器、機器管理方法、およびプログラムに関する。 The present invention relates to a device management system, a management device, a communication device, a device management method, and a program.
従来、クライアント端末にログインしようとするユーザの認証処理をオンラインのサーバ装置で実行する技術がある。このような認証方法では、クライアント端末がサーバ装置と通信可能に接続されていることが前提となるため、何らかの理由によってクライアント端末がサーバ装置と通信できない状態となった場合、ユーザは通信状態が回復するまでクライアント端末にログインすることができない。このような課題の解決を目的として、例えば、サーバ装置がクライアント端末から認証要求を受けた際に、一定期間において有効となるオフライントークンを生成してクライアント端末に送信する方法が提案されている(例えば特許文献1参照)。 Conventionally, there is a technique of executing an authentication process of a user who tries to log in to a client terminal on an online server device. In such an authentication method, it is premised that the client terminal is connected to the server device so that it can communicate with the server device. Therefore, if the client terminal cannot communicate with the server device for some reason, the user recovers the communication state. You cannot log in to the client terminal until you do. For the purpose of solving such a problem, for example, when a server device receives an authentication request from a client terminal, a method has been proposed in which an offline token that is valid for a certain period of time is generated and transmitted to the client terminal (. For example, see Patent Document 1).
しかしながら、従来の方法では、クライアント端末はオフライントークンを取得するためにサーバ装置への認証要求が必要となる。また、従来の方法では、オフライン時の認証方法とオンライン時の認証方法とが異なることにより、処理が複雑になるとともに、管理が煩雑となる可能性があった。 However, in the conventional method, the client terminal needs an authentication request to the server device in order to acquire the offline token. Further, in the conventional method, since the offline authentication method and the online authentication method are different, the processing may be complicated and the management may be complicated.
本発明は、このような事情を考慮してなされたものであり、オフライン時の認証をより簡易な構成で実現することができる機器管理システム、管理装置、通信機器、機器管理方法、およびプログラムを提供することを目的の一つとする。 The present invention has been made in consideration of such circumstances, and provides a device management system, a management device, a communication device, a device management method, and a program capable of realizing offline authentication with a simpler configuration. One of the purposes is to provide.
この発明に係る機器管理システム、管理装置、通信機器、機器管理方法、およびプログラムは、以下の構成を採用した。
(1):この発明の一態様に係る機器管理システムは、自装置に対するログイン要求を認証する一以上の管理対象機器と、前記管理対象機器と通信可能な管理装置とを備える機器管理システムであって、前記管理装置は、前記管理対象機器ごとに、前記ログイン要求の認証に必要な認証情報を複数含む認証情報群を生成して提供する認証情報提供部を備え、前記管理対象機器は、前記管理装置から提供された前記認証情報群に基づいて、前記ログイン要求に応じた状態に自装置を遷移させる認証部を備える、機器管理システムである。
The device management system, management device, communication device, device management method, and program according to the present invention have the following configurations.
(1): The device management system according to one aspect of the present invention is a device management system including one or more managed devices for authenticating a login request to the own device and a management device capable of communicating with the managed device. The management device includes an authentication information providing unit that generates and provides an authentication information group including a plurality of authentication information necessary for authentication of the login request for each management target device, and the management target device is the management target device. It is a device management system including an authentication unit that transitions its own device to a state corresponding to the login request based on the authentication information group provided by the management device.
(2):上記(1)の態様において、前記管理装置は、前記管理対象機器の特定を可能にする機器情報を前記管理対象機器以外の他の装置から取得する機器情報取得部と、取得された前記機器情報が、予め登録された機器情報群に含まれる場合に、前記機器情報によって識別される前記管理対象機器について生成された前記認証情報群の中から一以上の認証情報を選択して前記他の装置に発行する認証情報発行部と、をさらに備えるものである。 (2): In the embodiment of (1) above, the management device is acquired by a device information acquisition unit that acquires device information that enables identification of the managed device from a device other than the managed device. When the device information is included in the device information group registered in advance, one or more authentication information is selected from the authentication information group generated for the managed device identified by the device information. It further includes an authentication information issuing unit for issuing to the other device.
(3):上記(2)の態様において、前記機器情報取得部は、前記機器情報を示す画像または前記機器情報を符号化した情報を示す画像に対する画像認識処理によって前記機器情報を取得するものである。 (3): In the embodiment of (2) above, the device information acquisition unit acquires the device information by image recognition processing for an image showing the device information or an image showing information encoded from the device information. be.
(4):上記(1)から(3)のいずれか1つの態様において、前記認証情報提供部は、前記認証情報群を所定のタイミングで更新するとともに、更新後の認証情報群を前記管理対象機器に提供し、前記管理対象機器は、前記更新後の認証情報群が前記管理装置から提供された場合に、現在の認証情報群を前記更新後の認証情報群で更新する認証情報管理部をさらに備えるものである。 (4): In any one of the above (1) to (3), the authentication information providing unit updates the authentication information group at a predetermined timing, and the updated authentication information group is the management target. The managed device provides an authentication information management unit that updates the current authentication information group with the updated authentication information group when the updated authentication information group is provided from the management device. Further preparation.
(5):上記(1)から(4)のいずれか1つの態様において、前記認証情報提供部は、生成した前記認証情報群を所定の変換関数を用いて変換した変換後の認証情報群を各管理対象機器に提供するものである。 (5): In any one of the above (1) to (4), the authentication information providing unit converts the generated authentication information group using a predetermined conversion function into a converted authentication information group. It is provided to each managed device.
(6):上記(1)から(5)のいずれか1つの態様において、前記認証部は、前記ログイン要求に伴って自装置に入力された入力情報が、前記管理装置から供給された認証情報群のうちのいずれかの認証情報に一致する場合に前記ログイン要求を認証するものである。 (6): In any one of the above (1) to (5), the authentication unit receives the input information input to the own device in response to the login request to the authentication information supplied from the management device. The login request is authenticated when the authentication information of any of the groups is matched.
(7):上記(6)の態様において、前記認証部は、前記ログイン要求の認証に成功した場合、前記入力情報と一致した認証情報を前記管理装置から供給された認証情報群から削除するものである。 (7): In the embodiment of (6) above, when the authentication unit succeeds in authenticating the login request, the authentication unit deletes the authentication information matching the input information from the authentication information group supplied from the management device. Is.
(8):この発明の一態様に係る管理装置は、一以上の管理対象機器に対するログイン要求の認証に必要な認証情報を複数含む認証情報群を前記管理対象機器ごとに生成して各管理対象機器に提供する認証情報提供部と、前記管理対象機器ごとの認証情報群を記憶する記憶部と、管理対象機器の要求に応じて、前記管理対象機器について生成された前記認証情報群に基づいて前記管理対象機器を前記ログイン要求に応じた状態に遷移させる認証部と、自装置または管理対象機器が、前記管理対象機器を前記ログイン要求に応じた状態に遷移させるために必要な認証情報を前記管理対象機器について生成した認証情報群に基づいて発行する認証情報発行部と、を備える管理装置である。 (8): The management device according to one aspect of the present invention generates an authentication information group including a plurality of authentication information necessary for authentication of a login request for one or more managed devices for each managed device, and each managed device. Based on the authentication information providing unit provided to the device, the storage unit that stores the authentication information group for each managed device, and the authentication information group generated for the managed device in response to the request of the managed device. The authentication unit that transitions the managed device to the state corresponding to the login request, and the authentication information necessary for the own device or the managed device to transition the managed device to the state corresponding to the login request. It is a management device including an authentication information issuing unit that issues based on the authentication information group generated for the managed device.
(9):この発明の一態様に係る通信機器は、管理装置と通信可能な通信機器であって、前記管理装置から提供される認証情報群であって、自装置に対するログイン要求の認証に必要な認証情報を複数含む認証情報群を予め記憶した記憶部と、前記管理装置と通信できない状況において前記ログイン要求を受けた場合に、前記記憶部に記憶されている前記認証情報群に基づいて自装置を前記ログイン要求に応じた状態に遷移させる認証部と、を備える通信機器である。 (9): The communication device according to one aspect of the present invention is a communication device capable of communicating with the management device, which is an authentication information group provided by the management device, and is necessary for authentication of a login request to the own device. Based on the storage unit that stores a plurality of authentication information groups including a plurality of authentication information in advance, and the authentication information group stored in the storage unit when the login request is received in a situation where communication with the management device is not possible. It is a communication device including an authentication unit that transitions the device to a state corresponding to the login request.
(10):この発明の一態様に係る機器管理方法は、自装置に対するログイン要求を認証する一以上の管理対象機器と、前記管理対象機器と通信可能な管理装置とを備える機器管理システムにおいて、前記管理装置が、前記管理対象機器に対する前記ログイン要求の認証に必要な認証情報を複数含む認証情報群を前記管理対象機器ごとに生成して各管理対象機器に提供し、前記管理対象機器が、前記管理装置から提供された前記認証情報群に基づいて自装置を前記ログイン要求に応じた状態に遷移させる、機器管理方法である。 (10): The device management method according to one aspect of the present invention is in a device management system including one or more managed devices for authenticating a login request to the own device and a management device capable of communicating with the managed device. The management device generates an authentication information group including a plurality of authentication information necessary for authenticating the login request to the managed device for each managed device and provides the managed device to the managed device. This is a device management method for transitioning an own device to a state corresponding to the login request based on the authentication information group provided by the management device.
(11):この発明の一態様に係るプログラムは、コンピュータに、一以上の管理対象機器に対するログイン要求の認証に必要な認証情報を複数含む認証情報群を前記管理対象機器ごとに生成して各管理対象機器に提供させ、前記管理対象機器ごとの認証情報群を記憶部に記憶させ、管理対象機器の要求に応じて、前記管理対象機器について生成された前記認証情報群に基づいて前記管理対象機器を前記ログイン要求に応じた状態に遷移させ、自装置または管理対象機器が、前記管理対象機器に対するログイン要求を認証するために必要な認証情報を前記管理対象機器について生成した認証情報群に基づいて発行させる、プログラムである。 (11): The program according to one aspect of the present invention generates an authentication information group including a plurality of authentication information necessary for authentication of a login request for one or more managed devices on a computer for each managed device. The management target device is provided, the authentication information group for each management target device is stored in the storage unit, and the management target is based on the authentication information group generated for the management target device in response to the request of the management target device. Based on the authentication information group generated for the managed device, the device is transitioned to the state corresponding to the login request, and the own device or the managed device generates the authentication information necessary for authenticating the login request for the managed device. It is a program to be issued.
(12):この発明の一態様に係るプログラムは、管理装置と通信可能なコンピュータに、前記管理装置から予め提供される認証情報群であって、自装置に対するログイン要求の認証に必要な認証情報を複数含む認証情報群を記憶部に記憶させ、前記管理装置と通信できない状況において前記ログイン要求を受けた場合に、前記記憶部に記憶されている前記認証情報群に基づいて自装置を前記ログイン要求に応じた状態に遷移させる、プログラムである。 (12): The program according to one aspect of the present invention is an authentication information group provided in advance from the management device to a computer capable of communicating with the management device, and is authentication information necessary for authenticating a login request to the own device. When the login request is received in a situation where communication with the management device is not possible, the own device is logged in based on the authentication information group stored in the storage unit. It is a program that transitions to the state according to the request.
(1)~(12)によれば、一以上の管理対象機器と通信可能な管理装置が、前記管理対象機器に対するログイン要求の認証に必要な認証情報を複数含む認証情報群を前記管理対象機器ごとに生成して各管理対象機器に提供し、前記管理対象機器が、前記管理装置から提供された前記認証情報群に基づいて自装置を前記ログイン要求に応じた状態に遷移させることにより、オフライン時の認証をより簡易な構成で実現することができる。 According to (1) to (12), the managed device includes a group of authentication information including a plurality of authentication information necessary for authentication of a login request to the managed device by the management device capable of communicating with one or more managed devices. It is generated for each and provided to each managed device, and the managed device transitions its own device to a state corresponding to the login request based on the authentication information group provided from the management device, so that it is offline. Time authentication can be realized with a simpler configuration.
以下、図面を参照し、本発明の機器管理システム、管理装置、通信機器、機器管理方法、およびプログラムの実施形態について説明する。 Hereinafter, embodiments of the device management system, management device, communication device, device management method, and program of the present invention will be described with reference to the drawings.
図1は、本実施形態の機器管理システム100の構成例を示すシステム構成図である。機器管理システム100は、バッテリ交換機600を管理するシステムである。機器管理システム100は、バッテリ交換機600の管理において、バッテリ交換機600に対するユーザのログイン要求を認証する機能を有する。ここで、バッテリ交換機600に対するログイン要求の認証とは、バッテリ交換機600をログイン要求に応じた状態に遷移させることを意味する。例えば、ログイン要求の認証とは、バッテリ交換機600に対するユーザのログインを許可することであり、ユーザがバッテリ交換機600に対して必要な操作が行える状態に遷移させることである。機器管理システム100は、FW端末300、管理サーバ500、およびバッテリ交換機600を備える。管理サーバ500は、本発明における管理装置の一例である。また、バッテリ交換機600は、本発明における通信機器の一例であり、管理対象機器の一例である。
FIG. 1 is a system configuration diagram showing a configuration example of the
FW端末300は、バッテリ交換機600の設置現場(以下単に「現場」という場合がある。)において、現場作業員(FW:Field Worker、以下「ユーザ」ともいう。)がバッテリ交換機600の使用を開始するために必要な情報を取得するために使用する端末装置である。具体的には、FW端末300は、バッテリ交換機600へのログインに必要な情報を管理サーバ500から取得するために使用される。ここで、バッテリ交換機600へのログインに必要な情報とは、例えば、ワンタイムパスワード(以下「OTPW」(One-Time Password)と略記する場合がある。)である。バッテリ交換機600は、使用済みバッテリを回収して充電済みバッテリに交換する装置である。バッテリ交換機600は、使用済みバッテリが供給されると、供給された使用済みバッテリを回収する代わりに充電済みバッテリを提供するとともに、回収した使用済みバッテリの充電を行う。充電が完了したバッテリはその後のバッテリ回収時において交換用のバッテリとして使用される。
In the
管理サーバ500は、ネットワークNW1を介してFW端末300と通信可能に接続される。例えば、ネットワークNW1は、セルラー網やインターネット等の公衆網を含むWAN(Wide Area Network)である。管理サーバ500は、有線通信によってネットワークNW1に接続されてもよいし、無線通信によってネットワークNW1に接続されてもよい。一方、管理サーバ500は、ネットワークNW2を介してバッテリ交換機600と通信可能に接続される。ネットワークNW2は、管理サーバ500がバッテリ交換機600と機器管理に関する通信を行うためのネットワークである。そのため、ネットワークNW2は、ネットワークNW1よりもセキュリティの高いネットワークとして構成されてもよい。例えば、ネットワークNW2は、広域イーサネット(登録商標)や専用線等の閉域網を用いたWANとして構成されてもよい。管理サーバ500は、有線通信によってNW2に接続されてもよいし、無線通信によってネットワークNW2に接続されてもよい。
The
管理サーバ500は、バッテリ交換機600の管理機能を有するサーバである。例えば、管理サーバ500は、バッテリ交換機600へのログインに必要なワンタイムパスワードを発行する機能と、バッテリ交換機600に対するログイン要求を認証する機能(以下「オンライン認証機能」という。)、およびオフライン認証に必要なパスワード情報を予めバッテリ交換機600に提供する機能を有する。ここで、オフライン認証は、バッテリ交換機600に対するログイン要求の認証をバッテリ交換機600自身が行う形態の認証方法である。パスワード情報は、認証に必要なワンタイムパスワードが記載された情報であり、管理サーバ500とバッテリ交換機600の間で事前に共有される情報である。これに対して、オンライン認証は、バッテリ交換機600に対するログイン要求の認証を管理サーバ500が行う形態の認証方法である。管理サーバ500は、このように予めバッテリ交換機600と共有しているパスワード情報に基づいてワンタイムパスワードを発行する。ワンタイムパスワードは本発明における認証情報の一例であり、パスワード情報は本発明における認証情報群の一例である。
The
バッテリ交換機600は、ネットワークNW2を介して管理サーバ500と通信可能に接続される。バッテリ交換機600は、有線通信によってNW2に接続されてもよいし、無線通信によってネットワークNW2に接続されてもよい。バッテリ交換機600は、自身に対するログイン要求を認証する機能を有する。具体的には、バッテリ交換機600は、管理サーバ500と通信可能なタイミングにおいては管理サーバ500に対してオンライン認証による認証を要求し、管理サーバ500と通信できないタイミングにおいては自身がオフライン認証による認証を試みる。バッテリ交換機600は、認証に成功した場合に自身へのログインを許可する。なお、バッテリ交換機600は、オンライン認証機能を備えずにオフライン認証機能のみを備え、常時オフライン認証によってログイン要求を認証するように構成されてもよい。
The
このように、実施形態の機器管理システム100は、バッテリ交換機600に対するログイン要求をオンライン認証によって認証可能な管理サーバ500と、同ログイン要求をオフライン認証によって認証可能なバッテリ交換機600とを備え、管理サーバ500が、オフライン認証に必要なパスワード情報をバッテリ交換機600に提供する、という構成を備えるものである。以下、機器管理システム100が備える各装置の構成について詳細に説明する。まず、FW端末300の構成について説明する。
As described above, the
FW端末300は、撮像部301と、無線通信部310と、入力部320と、表示部330と、記憶部340と、制御部350と、を備える。これらの構成要素のうち制御部350は、例えば、CPU(Central Processing Unit)などのハードウェアプロセッサがプログラム(ソフトウェア)を実行することにより実現される。これらの構成要素のうち一部または全部は、LSI(Large Scale Integration)やASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)、GPU(Graphics Processing Unit)などのハードウェア(回路部;circuitryを含む)によって実現されてもよいし、ソフトウェアとハードウェアの協働によって実現されてもよい。プログラムは、予めHDD(Hard Disk Drive)やフラッシュメモリなどの記憶装置(非一過性の記憶媒体を備える記憶装置)に格納されていてもよいし、DVDやCD-ROMなどの着脱可能な記憶媒体(非一過性の記憶媒体)に格納されており、記憶媒体がドライブ装置に装着されることでインストールされてもよい。
The
撮像部301は、カメラ等の撮像装置を用いて構成される。撮像部301は、FW端末300の位置および姿勢に応じて定まる範囲の被写体を撮像し、前記範囲の被写体が撮像された画像データを生成する。撮像部301は、生成した画像データを制御部350に出力する。
The
無線通信部310は、FW端末300をネットワークNW1に無線接続する無線通信インタフェースである。例えば、無線通信部310は、ネットワークNW1に接続可能な無線LANインタフェースを用いて構成される。無線通信部310は、ネットワークNW1を介して管理サーバ500と通信可能に接続される。
The
入力部320は、ボタンやスイッチ、キーボード、マウス、タッチパネル等の入力装置を用いて構成される。入力部320は、FW端末300に対する操作の入力を受け付ける。入力部320は、受け付けた操作入力の内容を示す入力情報を制御部350に出力する。
The
表示部330は、液晶ディスプレイや有機ELディスプレイ、タッチパネル等の表示装置を用いて構成される。表示部330は、制御部350の指示に基づき、任意の情報を表示可能である。
The
記憶部340は、HDDやフラッシュメモリ等の記憶装置を用いて構成される。記憶部340には、FW端末300が実行するプログラムのデータや、他の装置との間で送受信された通信データのほか、FW端末300の動作に関する各種情報が記憶される。
The
制御部350は、撮像部301、無線通信部310、入力部320、表示部330、および記憶部340との間で情報の入出力を行うことによりFW端末300の動作を制御する機能を有する。ここで、制御部350の制御機能には、各バッテリ交換機600の外観からそれぞれの機器情報を取得する機能と、管理サーバ500からワンタイムパスワードを取得する機能とが含まれる。制御部350は、これらの機能を実現するための構成として機器情報取得部351およびOTPW取得部352を備える。
The
機器情報取得部351は、画像認識処理の実行により、撮像部301によって取得された画像データからバッテリ交換機600の機器情報を読み取る機能を有する。ここで、機器情報は、各バッテリ交換機600を特定可能にする情報である。例えば、機器情報は、バッテリ交換機600の各個体を識別するための個体識別情報を含んでもよいし、組み合わせによって各個体を識別可能にする複数種類の情報を含んでもよい。例えば、本実施形態において、バッテリ交換機600の筐体表面には、バーコードや2次元コード等に符号化された機器情報(以下「符号化情報」という。)が表示されているものとする。この場合、FW端末300は、符号化情報が撮像部301によって撮像されるように、その位置や姿勢がユーザによって調整される。機器情報取得部351は、撮像部301によって取得された画像データに対して画像認識処理を行うことにより、符号化情報を認識するとともに、認識した符号化情報を復号化して機器情報を取得する。機器情報取得部351は、このようにして取得した機器情報をOTPW取得部352に出力する。なお、バッテリ交換機600の筐体表面には、符号化情報に代えて機器情報そのものが表示されてもよい。また、この場合、画像認識処理は画像データから直接的に機器情報を認識する処理であってもよい。
The device
OTPW取得部352は、バッテリ交換機600へのログインに必要となるワンタイムパスワードを管理サーバ500から取得する機能を有する。具体的には、OTPW取得部352は、ログイン対象のバッテリ交換機600について読み取られた機器情報を管理サーバ500に送信することにより当該バッテリ交換機600へのログインに必要なワンタイムパスワードの発行を管理サーバ500に要求し、その要求に対する応答としてワンタイムパスワードを取得する。OTPW取得部352は、管理サーバ500からワンタイムパスワードを取得できた場合、取得したワンタイムパスワードを表示部330に表示させる。
The
例えば、機器情報取得部351およびOTPW取得部352は、FW端末300で動作するユーザアプリケーション(以下「OTPWアプリ」という。)によって実現される。例えば、OTPWアプリは、ユーザの操作によって起動され、その操作画面には、撮像部301によるカメラのライブビューと、管理サーバ500から発行されたワンタイムパスワードの表示領域(以下「パスワード表示部」という。)と、が配置される。この場合、機器情報取得部351は、ライブビューに表示されている画像に対して画像認識処理を行い、当該画像から機器情報が検出された場合に、検出された機器情報をOTPW取得部352に出力する。OTPW取得部352は、機器情報取得部351から機器情報を入力すると、入力した機器情報を管理サーバ500に送信し、その機器情報に係るバッテリ交換機600にログインするためのワンタイムパスワードの発行を管理サーバ500に要求する。機器情報取得部351は、ワンタイムパスワードが正常に発行された場合、発行されたワンタイムパスワードを操作画面のパスワード表示部に表示させる。これにより、ユーザは、パスワード表示部の目視によって発行されたワンタイムパスワードを確認することができる。
For example, the device
続いて、管理サーバ500の構成について説明する。管理サーバ500は、第1通信部511と、第2通信部512と、記憶部540と、制御部550と、を備える。これらの構成要素のうち制御部550は、例えば、CPUなどのハードウェアプロセッサがプログラム(ソフトウェア)を実行することにより実現される。これらの構成要素のうち一部または全部は、LSIやASIC、FPGA、GPUなどのハードウェア(回路部;circuitryを含む)によって実現されてもよいし、ソフトウェアとハードウェアの協働によって実現されてもよい。プログラムは、予めHDDやフラッシュメモリなどの記憶装置(非一過性の記憶媒体を備える記憶装置)に格納されていてもよいし、DVDやCD-ROMなどの着脱可能な記憶媒体(非一過性の記憶媒体)に格納されており、記憶媒体がドライブ装置に装着されることでインストールされてもよい。
Subsequently, the configuration of the
第1通信部511は、管理サーバ500をネットワークNW1に接続する通信インタフェースである。例えば、第1通信部511は、ネットワークNW1に接続可能な有線通信インタフェースを用いて構成される。第1通信部511は、ネットワークNW1を介してFW端末300と通信可能に接続される。
The
第2通信部512は、管理サーバ500をネットワークNW2に接続する通信インタフェースである。例えば、第2通信部512は、ネットワークNW2に接続可能な有線通信インタフェースを用いて構成される。第2通信部512は、ネットワークNW2を介してバッテリ交換機600と通信可能に接続される。
The
記憶部540は、HDDやフラッシュメモリ等の記憶装置を用いて構成される。記憶部540には、管理サーバ500が実行するプログラムのデータや、他の装置との間で送受信された通信データのほか、管理サーバ500の動作に関する各種情報が記憶される。例えば、記憶部540には、管理対象のバッテリ交換機600を管理するための機器管理情報や、発行済みのワンタイムパスワードを管理するためのパスワード情報等が記憶される。例えば、機器管理情報には、管理対象のバッテリ交換機600の機器情報が登録される。
The
制御部550は、第1通信部511、第2通信部512、および記憶部540との間で情報の入出力を行うことにより管理サーバ500の動作を制御する機能を有する。ここで、制御部550の制御機能には、管理対象のバッテリ交換機600に対してパスワード情報を提供する機能と、ワンタイムパスワードを発行する機能と、バッテリ交換機600に対するログイン要求をオンライン認証により認証する機能とが含まれる。パスワード情報は、バッテリ交換機600ごとに発行可能な複数のワンタイムパスワードの一覧を示す情報である。制御部550は、これらの機能を実現するための構成として、例えば、パスワード情報提供部551、OTPW発行部552、およびオンライン認証部553を備える。
The
パスワード情報提供部551は、管理対象のバッテリ交換機600ごとにパスワード情報を生成する機能を有する。パスワード情報提供部551は、生成したパスワード情報を各バッテリ交換機600に供給するとともに、記憶部540に記録する。パスワード情報は、記憶部540が有する記憶領域のうちセキュリティ保護された領域に記憶されることが望ましい。なお、パスワード情報提供部551は、所定のタイミングでパスワード情報を更新するように構成されてもよい。例えば、パスワード情報提供部551は、1日に1回パスワード情報を更新してもよい。パスワード情報提供部551は、パスワード情報を更新した場合、更新後のパスワード情報を各バッテリ交換機600に供給する。また、ワンタイムパスワードの生成方法は、特定の方法に限定されない。パスワード情報提供部551は、本発明における認証情報提供部の一例である。
The password
OTPW発行部552は、バッテリ交換機600へのログインに必要なワンタイムパスワードを発行する機能を有する。具体的には、OTPW発行部552は、ワンタイムパスワードの発行要求とともに提供される機器情報に基づいてワンタイムパスワードを発行する対象のバッテリ交換機600(以下「対象機器」という。)を識別し、対象機器のパスワード情報に登録されているワンタイムパスワードの中から1つのワンタイムパスワードを選択して要求元に通知する。以下、このワンタイムパスワードの選択および通知をワンタイムパスワードの発行という。
The OTPW issuing unit 552 has a function of issuing a one-time password required for logging in to the
ここで、OTPW発行部552は、対象機器が管理対象として管理サーバ500に登録されている場合にワンタイムパスワードを発行し、対象機器が管理対象として管理サーバ500に登録されていない場合にはワンタイムパスワードを発行しない。なお、管理サーバ500の記憶部540には対象機器の機器情報群が予め登録されているものとし、OPTW発行部552は、登録されている機器情報群の中に対象の機器情報が含まれている場合に、対象機器が管理対象として管理サーバ500に登録されていると判定することができる。また、OTPW発行部552は、発行したワンタイムパスワードについて有効期間を設定する機能を有する。なお、OTPW発行部552がワンタイムパスワードを発行する際にパスワード情報に登録されているワンタイムパスワードの中から選択するワンタイムパスワードは必ずしも1つである必要はなく、一度に複数のワンタイムパスワードを発行するように構成されてもよい。OTPW発行部552は、本発明における認証情報発行部の一例である。
Here, the OTPW issuing unit 552 issues a one-time password when the target device is registered in the
図2は、本実施形態におけるパスワード情報の一例を示す図である。例えば、パスワード情報は、図2に示すパスワードテーブルT1として記憶部540に記録される。例えば、パスワードテーブルT1は、機器ID、パスワード文字列、および有効期間の各値を有する1つ以上のレコードからなる。ここで、機器IDは、管理対象のバッテリ交換機600の識別情報を表す。パスワード文字列は、バッテリ交換機600に発行可能なワンタイムパスワードの文字列を表す。有効期間は、そのワンタイムパスワードの発行に際して設定される有効期間を表す。例えば、ワンタイムパスワードの生成時においては機器IDおよびパスワード文字列の各値が登録される。OTPW発行部552は、ワンタイムパスワードを実際に発行したタイミングにおいて有効期間を決定し、登録する。なお、図2は、“BEX001”の機器IDで識別されるバッテリ交換機600について生成されたパスワード情報の一例を示すものである。各バッテリ交換機600には、このようなパスワード情報が予め管理サーバ500から供給され、管理サーバ500は、管理対象のすべてのバッテリ交換機600についてパスワード情報を記憶している。
FIG. 2 is a diagram showing an example of password information in this embodiment. For example, the password information is recorded in the
図1の説明に戻る。オンライン認証部553は、バッテリ交換機600の要求に応じてバッテリ交換機600に対するログイン要求の認証を行うオンライン認証機能を有する。具体的には、オンライン認証部553は、バッテリ交換機600からオンライン認証の要求を受け付けると、認証要求とともにバッテリ交換機600から提供されるユーザ入力情報と、パスワード情報とに基づいて対象のログイン要求についての認証を試みる。ここで、ユーザ入力情報とは、バッテリ交換機600に対するログイン要求のために、バッテリ交換機600にワンタイムパスワードとして入力した情報である。オンライン認証部553は、バッテリ交換機600から提供されたユーザ入力情報が、パスワード情報に登録されている有効なワンタイムパスワードのいずれかに一致する場合にバッテリ交換機600に対するログイン要求を認証する。オンライン認証部553は、認証結果を要求元のバッテリ交換機600に通知する。
Returning to the description of FIG. The
なお、ここでいう有効なワンタイムパスワードとは、以下の各条件を満たすワンタイムパスワードである。
・ログイン対象のバッテリ交換機600が管理サーバ500に登録されている。
・ログイン対象のバッテリ交換機600のパスワード情報に登録されているワンタイムパスワードのうち、有効期間が設定されている(すなわち発行済みである)もの。
・有効期間が設定されているワンタイムパスワードのうち、現時点で有効期間が満了していないもの。
The valid one-time password here is a one-time password that satisfies each of the following conditions.
-The
-Of the one-time passwords registered in the password information of the
-A one-time password with a valid period that has not expired at this time.
続いて、バッテリ交換機600の構成について説明する。バッテリ交換機600は、充電器601と、駆動部602と、電源部603と、通信部610と、入力部620と、表示部630と、記憶部640と、制御部650と、を備える。これらの構成要素のうち制御部650は、例えば、CPUなどのハードウェアプロセッサがプログラム(ソフトウェア)を実行することにより実現される。これらの構成要素のうち一部または全部は、LSIやASIC、FPGA、GPUなどのハードウェア(回路部;circuitryを含む)によって実現されてもよいし、ソフトウェアとハードウェアの協働によって実現されてもよい。プログラムは、予めHDDやフラッシュメモリなどの記憶装置(非一過性の記憶媒体を備える記憶装置)に格納されていてもよいし、DVDやCD-ROMなどの着脱可能な記憶媒体(非一過性の記憶媒体)に格納されており、記憶媒体がドライブ装置に装着されることでインストールされてもよい。
Subsequently, the configuration of the
充電器601は、バッテリを充電するための充電器である。充電器601は、充電済みバッテリと引き換えに回収された使用済みバッテリを電源部603によって供給される電力を用いて充電する。
The
駆動部602は、バッテリの充電に関する物理動作を実現する機能部であり、各種の構造部材や電子部品の組み合わせによって構成される。例えば、駆動部602は、バッテリの投入部および取り出し部を構成する扉や台座などの構造部材(図示せず)を含む。また、例えば、駆動部602は、扉の開閉や、バッテリ交換機600の内部におけるバッテリの移動を実現するモータやギア、シャフト等の部品(図示せず)を含む。駆動部602の動作により、バッテリ交換機600は使用済みバッテリを装置内に回収し、回収した使用済みバッテリに代えて充電済みバッテリを装置外に放出することができる。また、駆動部602の動作により、バッテリ交換機600は、装置内に回収された使用済みバッテリを充電器601に接続するとともに、充電が完了したバッテリを充電器601から取り外すことができる。
The
電源部603は、バッテリ交換機600に駆動電力を供給する機能部である。例えば電源部603は内部バッテリであってもよいし、外部電源が供給する電力を入力する電源回路であってもよい。内部バッテリは電池であってもよいし、発電機であってもよい。
The
通信部610は、バッテリ交換機600をネットワークNW2に接続する通信インタフェースである。通信部610は、有線通信によってネットワークNW2に接続されてもよいし、無線通信によってネットワークNW2に接続されてもよい。通信部610は、ネットワークNW2を介して管理サーバ500との通信可能に接続される。
The
入力部620は、ボタンやスイッチ、キーボード、マウス、タッチパネル等の入力装置を用いて構成される。入力部620は、バッテリ交換機600に対する操作の入力を受け付ける。入力部620は、受け付けた操作入力の内容を示す入力情報を制御部650に出力する。
The
表示部630は、液晶ディスプレイや有機ELディスプレイ、タッチパネル等の表示装置を用いて構成される。表示部630は、制御部650の指示に基づき、任意の情報を表示可能である。
The
記憶部640は、HDDやフラッシュメモリ等の記憶装置を用いて構成される。記憶部640には、バッテリ交換機600が実行するプログラムのデータや、他の装置との間で送受信された通信データのほか、バッテリ交換機600の動作に関する各種情報が記憶される。例えば、記憶部640には、管理サーバ500から供給されるパスワード情報が記憶される。パスワード情報は、記憶部640が有する記憶領域のうちセキュリティ保護された領域に記憶されることが望ましい。
The
制御部650は、通信部610、入力部620、表示部630、および記憶部640との間で情報の入出力を行うことによりバッテリ交換機600の動作を制御する機能を有する。ここで、制御部650の制御機能には、バッテリの充電および交換に関する各種物理動作を制御する機能と、バッテリ交換機600に対するログイン要求の認証を行う機能と、管理サーバ500から提供されるパスワード情報を管理する機能とが含まれる。制御部650は、これらの機能を実現するための構成として、例えば、駆動制御部651と、ログイン認証部652と、パスワード情報管理部653とを備える。
The
駆動制御部651は、バッテリの充電および交換に関する各種物理動作を制御する機能を有する。例えば、駆動制御部651は、使用済みバッテリを投入する操作に応じて駆動部602に所定の動作を行わせることにより、使用済みバッテリをバッテリ交換機600の装置内に回収するとともに、回収したバッテリの代わりに充電済みバッテリを装置外に放出させることができる。また、例えば、駆動制御部651は、回収された使用済みバッテリを充電器601に接続する動作を駆動部602に行わせることにより、使用済みバッテリの充電を開始させることができる。また、例えば、駆動制御部651は、充電が完了したバッテリを充電器601から取り外す動作を駆動部602に行わせることができる。
The
ログイン認証部652は、バッテリ交換機600に対するユーザのログイン要求を認証する機能を有する。具体的には、ログイン認証部652は、バッテリ交換機600が管理サーバ500と通信可能な状況においては、管理サーバ500に対してオンライン認証による認証要求を行う。一方、ログイン認証部652は、バッテリ交換機600が管理サーバ500と通信できない状況においては、オフライン認証により自身でログイン要求の認証を試みる。例えば、ログイン認証部652は、オンライン認証による認証要求を行う際、自装置の機器情報とユーザ入力情報とを管理サーバ500に送信する。一方、ログイン認証部652は、オフライン認証による認証を試みる場合、ユーザ入力情報と、現在時刻と、予め管理サーバ500から提供されているパスワード情報とに基づいて認証を試みる。ログイン認証部652は、オンライン認証またはオフライン認証のいずれかの認証方法において認証に成功した場合に自身に対するユーザのログインを許可する。
The
図3および図4は、本実施形態の機器管理システム100において、バッテリ交換機600に対するユーザのログイン要求を認証する方法を説明する概略図である。図3は、バッテリ交換機600が管理サーバ500と通信可能である場合(以下「通常時」という。)におけるオンライン認証の方法を示し、図4は、バッテリ交換機600が管理サーバ500と通信できない場合(以下「障害時」という。)におけるオフライン認証の方法を示している。まず、図3を参照しながら通常時におけるオンライン認証の流れについて説明する。
3 and 4 are schematic views illustrating a method of authenticating a user login request for the
まず、ユーザは、FW端末300を伴ってバッテリ交換機600の設置現場に赴き、FW端末300を用いてバッテリ交換機600に表示されている機器情報INFの読み取りを行う(ステップS11)。ユーザは、読み取った機器情報を管理サーバ500に送信するとともに、管理サーバ500に対してワンタイムパスワードの発行を要求する(ステップS12)。管理サーバ500は、機器情報により特定されるバッテリ交換機600が管理対象として登録されている場合にワンタイムパスワードを生成し、生成したワンタイムパスワードをFW端末300に通知する(ステップS13)。FW端末300は、管理サーバ500から通知されたワンタイムパスワードを表示部330に表示させる。
First, the user goes to the installation site of the
一方、このときのバッテリ交換機600は、ユーザによるログイン操作の入力を受け付けている状態であり、例えば、表示部630にワンタイムパスワードの入力画面(以下「パスワード入力画面」という。)を表示している。ここでユーザは、FW端末300に表示されているワンタイムパスワードを目視にて確認し(ステップS14)、確認したワンタイムパスワードをバッテリ交換機600に表示されているパスワード入力画面に入力する(ステップS15)。バッテリ交換機600は、ワンタイムパスワードの入力を受け付けると、自装置の機器情報とユーザ入力情報を管理サーバ500に送信するとともに、自装置に対するログイン要求の認証を管理サーバ500に要求する(ステップS16)。管理サーバ500は、バッテリ交換機600の認証要求に応じてオンライン認証処理を実行する。具体的には、管理サーバ500は、バッテリ交換機600から受信されたユーザ入力情報と、機器情報により特定されるバッテリ交換機600のパスワード情報とに基づいてログイン要求の認証可否を判定する。
On the other hand, the
続いて、管理サーバ500は認証結果を要求元のバッテリ交換機600に通知する(ステップS17)。バッテリ交換機600は、認証に成功した場合に自身へのログインを許可し、認証に失敗した場合には自身へのログインを許可しない。このような認証方法によれば、予め登録済みのバッテリ交換機600へのログインに際してワンタイムパスワードを発行し、発行したワンタイムパスワードがバッテリ交換機600に入力された場合にバッテリ交換機600に対するユーザのログインを許可することができる。
Subsequently, the
続いて、図4を参照しながら障害時におけるオフライン認証の流れについて説明する。なお、図4において、通常時のオンライン認証と同様の手順については図3と同じ符号を付すことにより、それらの手順についての説明を省略する。ここで、管理サーバ500は、バッテリ交換機600によるオフライン認証の事前準備として、バッテリ交換機600との通信が不能となる以前の通常時において、パスワード情報をバッテリ交換機600に供給する(ステップS21)。バッテリ交換機600は、管理サーバ500から供給されたパスワード情報を記憶部640に記録する。また、ここでは、バッテリ交換機600は、管理サーバ500からパスワード情報が供給された後に、管理サーバ500との通信が不能になり、このような状況においてユーザがバッテリ交換機600にワンタイムパスワードの入力を行うものとする(ステップS15)。
Subsequently, the flow of offline authentication at the time of failure will be described with reference to FIG. In FIG. 4, the same procedures as those for online authentication in normal times are designated by the same reference numerals as those in FIG. 3, and the description of these procedures will be omitted. Here, the
この場合、バッテリ交換機600は、管理サーバ500との通信が不能となっているため、管理サーバ500にオンライン認証による認証要求を行うことができない。そのため、この場合、バッテリ交換機600は、オフライン認証により、自身でログイン要求の認証を試みる(ステップS22)。具体的には、バッテリ交換機600は、ユーザ入力情報と、管理サーバ500から予め供給されているパスワード情報とに基づいてログイン要求の認証可否を判定する。このような認証方法によれば、バッテリ交換機600が管理サーバ500と通信できない障害時においても、バッテリ交換機600が管理サーバ500を必要とせずに自らログイン要求を認証することができる。
In this case, since the
図5および図6は、本実施形態の機器管理システム100において、バッテリ交換機600に対するユーザのログイン要求を認証する処理の流れの一例を示すシーケンス図である。図5は通常時における処理の流れを示し、図6は障害時における処理の流れを示している。まず、図5を参照しながら、通常時における認証処理の流れについて説明する。
5 and 6 are sequence diagrams showing an example of a flow of processing for authenticating a user login request for the
まず、ユーザがバッテリ交換機600へのログインを試みるタイミングにおいて、バッテリ交換機600はロック状態にあり、バッテリ交換機600の表示部630にはそのロック状態を解除する手段としてパスワード入力画面が表示されている(ステップS301)。この状況において、ユーザは、FW端末300を用いて管理サーバ500からワンタイムパスワードを取得し、取得したワンタイムパスワードをパスワード入力画面に入力する。ここで、ユーザによるワンタイムパスワードの取得は、例えば以下のような流れで行われる。
First, at the timing when the user tries to log in to the
まず、ユーザは、FW端末300においてOTPWアプリを起動させる。ユーザは、例えばバッテリ交換機600の筐体表面に表示されている機器情報(または符号化情報)がOTPWアプリのライブビューに表示されるようにFW端末300の位置及び姿勢を調整してバッテリ交換機600を撮像する(ステップS302)。これにより、機器情報が撮像された画像データがFW端末300に取得される(ステップS303)。OTPWアプリは、ライブビューに表示された画像から機器情報を読み取る(ステップS304)。OTPWアプリは、読み取った機器情報を管理サーバ500に送信することにより、管理サーバ500に対してワンタイムパスワードの発行を要求する(ステップS305)。
First, the user activates the OTPW application on the
管理サーバ500は、この要求に応じて、機器情報により特定されるバッテリ交換機600パスワード情報からいずれか1つのワンタイムパスワードを選択し(ステップS306)、選択したワンタイムパスワードを要求元のFW端末300に通知する(ステップS307)。また、管理サーバ500は、発行したワンタイムパスワードについて有効期間を設定する(ステップS308)。FW端末300は、管理サーバ500から発行されたワンタイムパスワードを表示部330に表示させる(ステップS309)。ユーザは、FW端末300に表示されているワンタイムパスワードを目視確認し、確認したワンタイムパスワードをバッテリ交換機600の表示部630に表示されているパスワード入力画面に入力する(ステップS310)。
In response to this request, the
続いて、バッテリ交換機600は、ワンタイムパスワードの入力を受け付ける(ステップS311)と、管理サーバ500との通信状態を確認する(ステップS312)。通常時においては、バッテリ交換機600は管理サーバ500と正常に通信することができるため、バッテリ交換機600はユーザ入力情報を管理サーバ500に送信し、管理サーバ500に対して認証を要求する(ステップS313)。管理サーバ500は、この認証要求を受けてオンライン認証処理を実行し(ステップS314)、その認証結果をバッテリ交換機600に通知する(ステップS315)。この認証結果の通知を受けて、バッテリ交換機600は、認証に成功したか否かを判定する(ステップS316)。ここで、認証に失敗したと判定した場合、バッテリ交換機600はステップS311に処理を戻し、ユーザに別のワンタイムパスワードの入力を促す。一方、認証に成功したと判定した場合、バッテリ交換機600は自装置に対するユーザのログインを許可する(ステップS317)。
Subsequently, the
続いて、図6を参照しながら、障害時における認証処理の流れについて説明する。図6において、通常時の認証方法と同様の手順については図5と同じ符号を付すことにより、それらの手順についての説明を省略する。図2においても説明したが、管理サーバ500は、予めバッテリ交換機600にパスワード情報を供給する機能を有する。このため、図6において、管理サーバ500は、バッテリ交換機600との通信が不能となる以前の通常時において、パスワード情報を生成するとともに(ステップS401)、生成したパスワード情報をバッテリ交換機600に送信する(ステップS402)。バッテリ交換機600は、管理サーバ500から受信されたパスワード情報を記憶部640に記録する(ステップS403)。
Subsequently, the flow of the authentication process at the time of failure will be described with reference to FIG. In FIG. 6, the same procedures as those in the normal authentication method are designated by the same reference numerals as those in FIG. 5, and the description of these procedures will be omitted. As described with reference to FIG. 2, the
一方、障害時において、バッテリ交換機600にワンタイムパスワードが入力された場合、バッテリ交換機600は管理サーバ500と正常に通信することができないことを確認し(ステップS404)、ユーザ入力情報と、予め記憶部640に記録しているパスワード情報とに基づいてオフライン認証処理を実行する(ステップS405)。バッテリ交換機600は、オフライン認証処理の結果に基づいて認証に成功したか否かを判定する。バッテリ交換機600は、認証に失敗したと判定した場合には、自身へのログインを許可せずに、ユーザに別のワンタイムパスワードの入力を促す。一方、バッテリ交換機600は、認証に成功したと判定した場合、自身へのログインを許可する(ステップS317)。
On the other hand, when a one-time password is input to the
図7は、本実施形態におけるオンライン認証処理の一例を示すフローチャートである。まず、オンライン認証部553が、バッテリ交換機600から機器情報およびユーザ入力情報を取得する(ステップS501)。続いて、オンライン認証部553は、取得されたユーザ入力情報が、機器情報によって特定されるバッテリ交換機600のパスワード情報に登録されているか否かを判定する(ステップS502)。具体的には、オンライン認証部553は、ユーザ入力情報がパスワード情報に登録されているいずれかの有効なワンタイムパスワードに一致するか否かを判定する。ここで、ユーザ入力情報が有効ないずれのワンタイムパスワードにも一致しない場合、ログイン認証部652は、認証に失敗したことを認証結果として出力し(ステップS503)、オフライン認証処理を終了する。一方、ステップS502において、ユーザ入力情報がいずれかの有効なワンタイムパスワードに一致した場合、ログイン認証部652は、認証に成功したことを認証結果として出力する(ステップS504)。また、認証に成功した場合、ログイン認証部652は、パスワード情報から認証に成功したワンタイムパスワード削除し(ステップS505)、オフライン認証処理を終了する。
FIG. 7 is a flowchart showing an example of the online authentication process in the present embodiment. First, the
図8は、本実施形態におけるオフライン認証処理の一例を示すフローチャートである。図8を見ても分かるように、オフライン認証処理は、バッテリ交換機600自身による認証処理のため機器情報を必要としない点においてオンライン認証処理と異なるが、その他の点では、基本的にはオンライン認証処理と同様である。そのため、図8において、オンライン認証処理と同様の処理については図7と同じ符号を付すことにより、それらの処理についての処理を省略する。すなわち、オフライン認証処理は、最初のステップにおいて、機器情報を取得する必要がなく、ユーザ入力情報のみを取得する(ステップS601)点でオンライン認証処理と異なる。
FIG. 8 is a flowchart showing an example of the offline authentication process in the present embodiment. As can be seen from FIG. 8, the offline authentication process differs from the online authentication process in that it does not require device information because it is an authentication process by the
このように構成された実施形態の機器管理システム100は、管理サーバ500が、一以上のバッテリ交換機600ごとにパスワード情報を生成し、生成したパスワード情報を予め対応するバッテリ交換機600に供給するパスワード情報提供部551を備え、バッテリ交換機600が、管理サーバ500から供給されたパスワード情報に基づいて、バッテリ交換機600をログイン要求に応じた状態に遷移させるログイン認証部652を備える。そして、このような構成を備えることにより、実施形態の機器管理システム100は、オフライン時の認証をより簡易な構成で実現することが可能となる。
In the
具体的には、本実施形態の機器管理システム100によれば、バッテリ交換機600は、オフライン認証を行うにあたり、管理サーバ500からパスワード情報の提供を受けるのみでよく、管理サーバ500に対してオフライン認証を行うための認証を要求する等の煩雑な手順を実施する必要がない。また、本実施形態の機器管理システム100によれば、オフライン認証とオンライン認証とを同様の構成で実装することが可能であり、処理が複雑になることがなく、管理も簡単になる。
Specifically, according to the
<第1の変形例>
図9は、第1の変形例によるオフライン認証処理の一例を示すフローチャートである。第1の変形例のオフライン認証処理は、変換設定の有無に応じてワンタイムパスワードを所定の関数(以下「変換関数」という。)で変換する点、および変換設定がなされている場合には変換後のワンタイムパスワードを用いて認証を行う点において実施形態のオフライン認証処理と異なるが、その他の点では、基本的には実施形態のオフライン認証処理と同様である。そのため、図9においては、実施形態のオフライン認証処理と同様の処理については図8と同じ符号を付すことにより、それらの処理についての処理を省略する。
ここで、変換設定とは、各バッテリ交換機に提供するパスワード情報については、記載するワンタイムパスワードを変換関数で変換した上で各バッテリ交換機600に提供するか否かを選択可能にする設定である。変換設定の有無を示す設定情報は管理サーバ500およびバッテリ交換機600に予め記憶されているものとする。管理サーバ500において変換設定がなされている場合、OTPW発行部552は、パスワード情報に記載されたワンタイムパスワードを変換関数により変換して各バッテリ交換機600に提供する。なお、この場合、OTPW発行部552は、バッテリ交換機600に提供するパスワード情報についてワンタイムパスワードの変換を行うものとし、ワンタイムパスワードの発行ために管理サーバ500に保持しておくパスワード情報についてはワンタイムパスワードの変換を行わないものとする。すなわち、この場合、OTPW発行部552は、変換関数による変換を行っていないワンタイムパスワードを発行する。
これに対して、バッテリ交換機600におけるオフライン認証処理では、ログイン認証部652が、ステップS701において変換設定の有無を判定する。ログイン認証部652は、変換設定がなされていない場合にはステップS503に処理を進め、変換設定がなされている場合には、ステップS601で取得したユーザ入力情報を管理サーバ500と同様の変換関数により変換した上でステップS503に処理を進める(ステップS702)。
このような第1の変形例のオフライン認証処理によれば、所定の変換関数により変換されたパスワード情報が各バッテリ交換機600に供給されるため、ワンタイムパスワードのセキュリティを高めることができる。具体的には、仮にバッテリ交換機600からパスワード情報が流出したとしても、変換関数が不明であればそれを基に本来のワンタイムパスワードを取得することはできない。また、変換関数としてハッシュ関数等の不可逆変換関数を用いれば、さらに変換関数が流出した場合であっても、本来のワンタイムパスワードを取得することは困難である。このため、第1の変形例のオフライン認証処理によれば、本来のワンタイムパスワードが流出することを抑制することができるため、ワンタイムパスワードのセキュリティを高めることができる。
<First modification>
FIG. 9 is a flowchart showing an example of the offline authentication process according to the first modification. In the offline authentication process of the first modification, the one-time password is converted by a predetermined function (hereinafter referred to as "conversion function") depending on the presence or absence of the conversion setting, and the conversion is performed when the conversion setting is made. It differs from the offline authentication process of the embodiment in that authentication is performed using a one-time password later, but is basically the same as the offline authentication process of the embodiment in other respects. Therefore, in FIG. 9, the same processes as those of the offline authentication process of the embodiment are designated by the same reference numerals as those of FIG. 8, and the processes related to those processes are omitted.
Here, the conversion setting is a setting that makes it possible to select whether or not to provide the password information provided to each
On the other hand, in the offline authentication process in the
According to the offline authentication process of the first modification, the password information converted by the predetermined conversion function is supplied to each
<第2の変形例>
上記の実施形態では、ワンタイムパスワードの使用用途がオンライン認証であるか、またはオフライン認証であるかに関わらず、管理サーバ500が、予めパスワード情報を生成しておき、ワンタイムパスワードの発行要求を受けた場合には、パスワード情報に記載されているワンタイムパスワードの中から1つのワンタイムパスワードを選択して発行する場合について説明した。しかしながら、これは、オフライン認証用のワンタイムパスワードを発行する方法の一例であり、オンライン認証用のワンタイムパスワードと、オフライン認証用のワンタイムパスワードが同じ候補の中から選択されなければいけないことを意味するものではない。例えば、管理サーバ500において、要求されるワンタイムパスワードがオンライン認証またはオフライン認証のどちらに使用されるものかを識別することができる場合、管理サーバ500はオフライン認証用のワンタイムパスワードを記載したパスワード情報を各バッテリ交換機600と予め共有するように構成されてもよい。この場合、管理サーバ500は、オフライン認証用のワンタイムパスワードについて発行要求を受けた場合には事前に共有しているパスワード情報に記載されたワンタイムパスワードの中から1つのワンタイムパスワードを選択して発行し、オンライン認証用のワンタイムパスワードについては発行要求を受けてからワンタイムパスワードを生成するように構成されてもよい。
<Second modification>
In the above embodiment, the
上記説明した実施形態は、以下のように表現することができる。
自装置に対するログイン要求を認証する管理対象機器と、一以上の前記管理対象機器と通信可能な管理装置とを備える機器管理システムにおいて、前記管理対象機器および前記管理装置が、
プログラムを記憶した記憶装置と、
ハードウェアプロセッサと、を備え、
前記管理装置が、前記管理対象機器ごとに前記ログイン要求の認証に必要な認証情報を複数含む認証情報群を生成して各管理対象機器に提供し、
前記管理対象機器が、前記管理装置から提供された前記認証情報群に基づいて自装置を前記ログイン要求に応じた状態に遷移させる、
ように構成されている、機器管理システム。
The embodiment described above can be expressed as follows.
In a device management system including a managed device that authenticates a login request to its own device and a management device that can communicate with one or more of the managed devices, the managed device and the management device are
A storage device that stores the program and
With a hardware processor,
The management device generates an authentication information group including a plurality of authentication information required for authentication of the login request for each managed device and provides the authentication information group to each managed device.
The managed device transitions its own device to a state corresponding to the login request based on the authentication information group provided by the management device.
A device management system that is configured to be.
以上、本発明を実施するための形態について実施形態を用いて説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。 Although the embodiments for carrying out the present invention have been described above using the embodiments, the present invention is not limited to these embodiments, and various modifications and substitutions are made without departing from the gist of the present invention. Can be added.
100…機器管理システム、300…FW(Field Worker)端末、301…撮像部、310…無線通信部、320…入力部、330…表示部、340…記憶部、350…制御部、351…機器情報取得部、352…OTPW(One-Time Password)取得部、500…管理サーバ、511…第1通信部、512…第2通信部、540…記憶部、550…制御部、551…パスワード情報提供部、552…OTPW発行部、553…オンライン認証部、600…バッテリ交換機、601…充電器、602…駆動部、603…電源部、610…通信部、620…入力部、630…表示部、640…記憶部、650…制御部、651…駆動制御部、652…ログイン認証部、653…パスワード情報管理部 100 ... Equipment management system, 300 ... FW (Field Worker) terminal, 301 ... Imaging unit, 310 ... Wireless communication unit, 320 ... Input unit, 330 ... Display unit, 340 ... Storage unit, 350 ... Control unit, 351 ... Equipment information Acquisition unit, 352 ... OTPW (One-Time Password) acquisition unit, 500 ... Management server, 511 ... First communication unit, 512 ... Second communication unit, 540 ... Storage unit, 550 ... Control unit, 551 ... Password information provision unit , 552 ... OTPW issuing unit, 552 ... online authentication unit, 600 ... battery switch, 601 ... charger, 602 ... drive unit, 603 ... power supply unit, 610 ... communication unit, 620 ... input unit, 630 ... display unit, 640 ... Storage unit, 650 ... Control unit, 651 ... Drive control unit, 652 ... Login authentication unit, 653 ... Password information management unit
Claims (12)
前記管理装置は、
前記管理対象機器ごとに、前記ログイン要求の認証に必要な認証情報を複数含む認証情報群を生成して提供する認証情報提供部を備え、
前記管理対象機器は、
前記管理装置から提供された前記認証情報群に基づいて、前記ログイン要求に応じた状態に自装置を遷移させる認証部を備える、
機器管理システム。 A device management system including one or more managed devices for authenticating a login request to the own device and a management device capable of communicating with the managed device.
The management device is
Each managed device is provided with an authentication information providing unit that generates and provides an authentication information group including a plurality of authentication information required for authentication of the login request.
The managed device is
It is provided with an authentication unit that transitions its own device to a state corresponding to the login request based on the authentication information group provided by the management device.
Equipment management system.
前記管理対象機器の特定を可能にする機器情報を前記管理対象機器以外の他の装置から取得する機器情報取得部と、
取得された前記機器情報が、予め登録された機器情報群に含まれる場合に、前記機器情報によって識別される前記管理対象機器について生成された前記認証情報群の中から一以上の認証情報を選択して前記他の装置に発行する認証情報発行部と、
をさらに備える、
請求項1に記載の機器管理システム。 The management device is
A device information acquisition unit that acquires device information that enables identification of the managed device from devices other than the managed device, and
When the acquired device information is included in the device information group registered in advance, one or more authentication information is selected from the authentication information group generated for the managed device identified by the device information. And the authentication information issuing unit that issues to the other devices,
Further prepare,
The device management system according to claim 1.
請求項2に記載の機器管理システム。 The device information acquisition unit acquires the device information by image recognition processing for an image showing the device information or an image showing information encoded from the device information.
The device management system according to claim 2.
前記管理対象機器は、
前記更新後の認証情報群が前記管理装置から提供された場合に、現在の認証情報群を前記更新後の認証情報群で更新する認証情報管理部をさらに備える、
請求項1から3のいずれか一項に記載の機器管理システム。 The authentication information providing unit updates the authentication information group at a predetermined timing, and provides the updated authentication information group to the managed device.
The managed device is
Further provided is an authentication information management unit that updates the current authentication information group with the updated authentication information group when the updated authentication information group is provided from the management device.
The device management system according to any one of claims 1 to 3.
請求項1から4のいずれか一項に記載の機器管理システム。 The authentication information providing unit provides each managed device with a converted authentication information group obtained by converting the generated authentication information group using a predetermined conversion function.
The device management system according to any one of claims 1 to 4.
請求項1から5のいずれか一項に記載の機器管理システム。 The authentication unit authenticates the login request when the input information input to the own device in connection with the login request matches the authentication information of any one of the authentication information groups supplied from the management device. ,
The device management system according to any one of claims 1 to 5.
請求項6に記載の機器管理システム。 When the authentication unit succeeds in authenticating the login request, the authentication unit deletes the authentication information matching the input information from the authentication information group supplied from the management device.
The device management system according to claim 6.
前記管理対象機器ごとの認証情報群を記憶する記憶部と、
管理対象機器の要求に応じて、前記管理対象機器について生成された前記認証情報群に基づいて前記管理対象機器を前記ログイン要求に応じた状態に遷移させる認証部と、
自装置または管理対象機器が、前記管理対象機器を前記ログイン要求に応じた状態に遷移させるために必要な認証情報を前記管理対象機器について生成した認証情報群に基づいて発行する認証情報発行部と、
を備える管理装置。 An authentication information providing unit that generates an authentication information group containing a plurality of authentication information necessary for authenticating a login request for one or more managed devices for each managed device and provides it to each managed device.
A storage unit that stores the authentication information group for each managed device,
An authentication unit that transitions the managed device to a state corresponding to the login request based on the authentication information group generated for the managed device in response to the request of the managed device.
With the authentication information issuing unit that the own device or the managed device issues the authentication information necessary for transitioning the managed device to the state corresponding to the login request based on the authentication information group generated for the managed device. ,
A management device equipped with.
前記管理装置から提供される認証情報群であって、自装置に対するログイン要求の認証に必要な認証情報を複数含む認証情報群を予め記憶した記憶部と、
前記管理装置と通信できない状況において前記ログイン要求を受けた場合に、前記記憶部に記憶されている前記認証情報群に基づいて自装置を前記ログイン要求に応じた状態に遷移させる認証部と、
を備える通信機器。 It is a communication device that can communicate with the management device.
A storage unit that stores in advance an authentication information group that includes a plurality of authentication information necessary for authenticating a login request to the own device, which is an authentication information group provided by the management device.
An authentication unit that transitions its own device to a state corresponding to the login request based on the authentication information group stored in the storage unit when the login request is received in a situation where communication with the management device is not possible.
Communication equipment equipped with.
前記管理装置が、前記管理対象機器に対する前記ログイン要求の認証に必要な認証情報を複数含む認証情報群を前記管理対象機器ごとに生成して各管理対象機器に提供し、
前記管理対象機器が、前記管理装置から提供された前記認証情報群に基づいて自装置を前記ログイン要求に応じた状態に遷移させる、
機器管理方法。 In a device management system including one or more managed devices for authenticating a login request to the own device and a management device capable of communicating with the managed device.
The management device generates an authentication information group including a plurality of authentication information necessary for authenticating the login request to the managed device for each managed device and provides the managed device to each managed device.
The managed device transitions its own device to a state corresponding to the login request based on the authentication information group provided by the management device.
Equipment management method.
一以上の管理対象機器に対するログイン要求の認証に必要な認証情報を複数含む認証情報群を前記管理対象機器ごとに生成して各管理対象機器に提供させ、
前記管理対象機器ごとの認証情報群を記憶部に記憶させ、
管理対象機器の要求に応じて、前記管理対象機器について生成された前記認証情報群に基づいて前記管理対象機器を前記ログイン要求に応じた状態に遷移させ、
自装置または管理対象機器が、前記管理対象機器に対するログイン要求を認証するために必要な認証情報を前記管理対象機器について生成した認証情報群に基づいて発行させる、
プログラム。 On the computer
An authentication information group containing a plurality of authentication information necessary for authenticating a login request to one or more managed devices is generated for each managed device and provided to each managed device.
The authentication information group for each managed device is stored in the storage unit, and is stored.
In response to the request of the managed device, the managed device is transitioned to the state corresponding to the login request based on the authentication information group generated for the managed device.
The own device or the managed device issues authentication information necessary for authenticating a login request to the managed device based on the authentication information group generated for the managed device.
program.
前記管理装置から予め提供される認証情報群であって、自装置に対するログイン要求の認証に必要な認証情報を複数含む認証情報群を記憶部に記憶させ、
前記管理装置と通信できない状況において前記ログイン要求を受けた場合に、前記記憶部に記憶されている前記認証情報群に基づいて自装置を前記ログイン要求に応じた状態に遷移させる、
プログラム。 For computers that can communicate with management devices
An authentication information group provided in advance from the management device, which includes a plurality of authentication information necessary for authenticating a login request to the own device, is stored in the storage unit.
When the login request is received in a situation where communication with the management device is not possible, the own device is changed to the state corresponding to the login request based on the authentication information group stored in the storage unit.
program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020216377A JP7438095B2 (en) | 2020-12-25 | 2020-12-25 | Equipment management system, management device, equipment management method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020216377A JP7438095B2 (en) | 2020-12-25 | 2020-12-25 | Equipment management system, management device, equipment management method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022101952A true JP2022101952A (en) | 2022-07-07 |
JP7438095B2 JP7438095B2 (en) | 2024-02-26 |
Family
ID=82273343
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020216377A Active JP7438095B2 (en) | 2020-12-25 | 2020-12-25 | Equipment management system, management device, equipment management method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7438095B2 (en) |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5506164B2 (en) | 2008-05-12 | 2014-05-28 | キヤノン株式会社 | Management device, management device control method, and control program |
JP4886833B2 (en) | 2009-10-27 | 2012-02-29 | シャープ株式会社 | MFP control system |
JP2011118631A (en) | 2009-12-02 | 2011-06-16 | Connectone Co Ltd | Authentication server, authentication method, and program |
JP4713693B1 (en) | 2010-10-05 | 2011-06-29 | 株式会社シー・エス・イー | Offline two-factor user authentication system, method and program |
JP6136781B2 (en) | 2013-09-03 | 2017-05-31 | 株式会社リコー | Image processing apparatus authentication system and image processing apparatus |
JP6710587B2 (en) | 2016-06-14 | 2020-06-17 | シャープ株式会社 | Information processing system and information processing method |
JP7194933B2 (en) | 2018-11-02 | 2022-12-23 | パナソニックIpマネジメント株式会社 | Battery management system and battery management method |
-
2020
- 2020-12-25 JP JP2020216377A patent/JP7438095B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP7438095B2 (en) | 2024-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220247743A1 (en) | Authenticating a limited input device via an authenticated application | |
US10362613B2 (en) | Pairing management method, recording medium, and terminal apparatus | |
CN104079553A (en) | Authenticating system, information processing device and authenticating method | |
JP2012164300A (en) | Information processor and program | |
US20200280446A1 (en) | Service usage apparatus, method therefor, and non-transitory computer-readable storage medium | |
US10984084B2 (en) | System, device management system, and methods for the same | |
JP6450360B2 (en) | Information processing system, communication apparatus, and program | |
JP2015114724A (en) | Apparatus management system, communication apparatus, apparatus management device, control method, and program | |
JPWO2020070807A1 (en) | Authentication system, authentication method, application provider, authentication device, authentication program | |
WO2017172239A1 (en) | Secure archival and recovery of multifactor authentication templates | |
EP3432543B1 (en) | Service providing system, service delivery system, service providing method, and program | |
JP2010055524A (en) | Authentication controller, authentication control method and program | |
JP2022101952A (en) | Device management system, management apparatus, communication device, device management method, and program | |
KR20190015555A (en) | Service providing system, service communication system, service providing method and recording medium | |
JP2014227677A (en) | Locking and unlocking system | |
JP2017207909A (en) | Authentication system, communication system, authentication method, and program | |
JP5359127B2 (en) | Authentication control apparatus, authentication control method, and program | |
KR101958189B1 (en) | Smart locking device and locking service method thereof | |
CN108780426B (en) | Service providing system, service delivery system, service providing method, and program | |
JP6441544B2 (en) | Information device operation system, information device operation method, and program | |
WO2012128478A2 (en) | System and method for image-based authentication | |
CN108885653B (en) | Service providing system, service delivery system, service providing method, and program | |
JP2021127618A (en) | Control system, information processing method, and information terminal | |
JP6662215B2 (en) | Management system, communication system, management method, and program | |
CN110489961A (en) | Fabrication method and fabrication terminal in self-service card producing system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230707 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230711 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230911 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231107 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240105 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240116 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240213 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7438095 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |